View
214
Download
0
Category
Preview:
Citation preview
Deloitte Consulting GmbH
1. Dezember 2015
Herausforderungen und Trends
des Risikomanagements am
Beispiel Banken
Forumsvortrag am
Institut für
Unternehmensführung (ifu)
1
Agenda
© 2015 Deloitte Consulting GmbH 2
1
Deloitte Global Risk Management Survey: Aktuelle
Entwicklungen und Markteinschätzungen 2
BCBS #239: die (späte) Reaktion der Aufsicht auf die
Finanzkrise 3
Einführung
Risikomanagement in der Praxis am
Beispiel Reputationsrisiken 4
Deloitte ist eine der größten Prüfungs- und Beratungsgesell-
schaften mit einem breiten Leistungsspektrum, von Wirtschafts-
prüfung über Tax & Legal bis Corporate Finance und Consulting
Viele Standorte – ein Standpunkt
© 2015 Deloitte Consulting GmbH 3
Mitarbeiter weltweit
225.400
+ 7%
2015
Vorteil unserer weltweiten Präsenz: wir bündeln enormes länder-
spezifisches Know-how und arbeiten global auf einheitlich hohem Niveau.
Das bedeutet: jederzeit an jedem Ort exzellente Qualität, ausgeprägter
Teamgeist im globalen Netzwerk, grenzüberschreitende Zusammenarbeit und
interdisziplinäre Lösungen.
Asia Pacific 46.000 Mitarbeiter in 25 Ländern
EMEA 79.900 Mitarbeiter in 98 Ländern
Americas 99.400 Mitarbeiter in 31 Ländern
Kunden
Deloitte hat vier Funktionen, die übergreifend zusammenarbeiten,
um viele verschiedene Branchen thematisch breit abzudecken
Spezialisten bündeln Wissen – wir bündeln Spezialisten
© 2015 Deloitte Consulting GmbH 4
Wirtschaftsprüfung
Tax & Legal
Consulting
Corporate Finance
Funktionen
Consumer Business
Energy & Resources
Financial Services
Life Sciences & Health Care
Manufacturing
Public Sector
Real Estate
Technology, Media &
Telecommunication
Branchen
…
Consumer
Business
Manufacturing
Technology,
Media &Telco
Wir bieten unseren Kunden in Financial Services Lösungen von
der Strategie bis hin zur IT-Implementierung
Unsere Beratungskompetenz
5
Financial
Services
Strategie
• Strategie (inkl. Markt
und Kunden)
• Evaluation
Geschäftsmodell
• Marktanalysen,
Kundensegmentierung,
Kundenwertanalyse
• Analysen / Optimierung
Wertschöpfungskette
• Wettbewerb-Assess-
ments
Umsetzbare
Strategie
IT-Architekturen
• IT-Strategie und
Governance
• Design IT-Architekturen
• IT-Sourcing und
neutrale Outsourcing-
Beratung
• IT-Transformations-
konzepte / Umsetzung
• Management großer IT-
Projekte
Umsetzung von
Unternehmens-
anforderungen
in IT
Unternehmens-
lösungen
• Implementierung
komplexer Systeme
• Performance
Management &
Analytics: Steuerung,
Reporting, BI, DWH
• Fachkonzeptionen zur
IT-Integration
Umfangreiche
Fachkonzeptions-
und
Implementierungs-
fähigkeiten
Personalmanagement/
Human Capital
• Organisationsdesign
• Change Management
• Performance-
management der HR-
Funktion
• Vergütungs- und
Incentivierungs-systeme
• HR-Transformationen
Größte
vollintegrierte
Human Capital-
Beratung in Europa
Prozesse und
Organisation
• Projekt-, Programm-
und Projektportfolio-
Management
• Prozessoptimierung /
Lean Six Sigma
• Risikomanagement
• Shared Services
• Sourcing / Einkauf
• Design Target
Operating Model
• Finanztransformation
Kern unseres
Beratungs-
geschäfts
Branchen-
fokus:
© 2015 Deloitte Consulting GmbH
199.000 User
sind Follower des Deloitte
Global Twitter-Feeds
Das Fundament unseres internationalen Erfolgs ist Wissen. Denn
Wissen ist der Schlüssel für die Arbeit mit unseren Kunden, für das
Verstehen unserer Welt und für die Fähigkeit, neue Wege zu gehen
Wissen weitergeben – weltweit
© 2015 Deloitte Consulting GmbH 6
www.deloitte.com/de
bietet aktuelles Wissen, direkte
Kontaktmöglichkeiten und
umfassende Einblicke
Über 15.000 User
folgen der deutschen
Facebook-Seite
Über 263.000 User
sind Fan der Deloitte
Global Facebook-Seite
Deloitte Casts
(Live-)Videoübertragungen und
Diskussionsrunden mit unseren
Referenten
Seit Oktober 2012
Eigener Feed Deloitte
Deutschland zum Thema
Innovation
Rund 128.000
Deloitte Videos sind
auf YouTube zu sehen
Deloitte Tax App
bietet Fachbeiträge zu
aktuellen Steuerthemen
Das Risikomanagement in Banken gerät durch einen schwierigen
Markt zunehmend unter Druck
Herausforderungen für das Risikomanagement
Retail Banking (Personal and Business Banking
Customers)
• Corporate Customers
• Financial Markets
• Investments
• Management Services
fdg
Prozesse/Organisation
Systeme/Daten
Methoden
Meldewesen
Risikomanagement
IFRS
Konzernbericht
Management
Reporting
IFRS-Segment
Reporting
• Wachsende externe
Anforderungen:
• AQR/Stresstest
• BCBS #239
• SREP
• Schwieriges Marktumfeld
• Wachsende Konkurrenz von
Nichtbanken
• Eurokrise
• Niedriges Zinsniveau
• Kostendruck
• Wachsende Wechselwirkungen
zwischen den Steuerungskreisen
• IFRS 9
• AnaCredit
© 2015 Deloitte Consulting GmbH 7
Banken müssen eine Reihe von verschiedenen Risikoarten
managen – welche kennen Sie?
Risikoarten in Banken
Operationelle
Risiken
Kreditrisiken
Liquiditäts-
risiken
Marktrisiken
Reputa-
tions-
risiken
Beteili-
gungs-
risiken
Immobilien-
risiken
Geschäfts-
risiken Cyber-Risiken
Kollektiv-
risiken
Strategische
Risiken
Rechtsrisiken
Länderrisiken
Regulato-
rische Risiken
…
© 2015 Deloitte Consulting GmbH 8
Agenda
© 2015 Deloitte Consulting GmbH 9
1
Deloitte Global Risk Management Survey: Aktuelle
Entwicklungen und Markteinschätzungen 2
BCBS #239: die (späte) Reaktion der Aufsicht auf die
Finanzkrise 3
Einführung
Risikomanagement in der Praxis am
Beispiel Reputationsrisiken 4
About the survey
Participating institutions were primarily
commercial and retail banks, insurance
companies, and investment management
companies
Headquartered in a variety of geographies,
many responding institutions are global
companies
The range of asset sizes includes some of
the world’s largest institutions as well as
smaller, regional institutions
Primary business Geography Asset size
Note: Some graphs do not add to 100% due to rounding.
US & Canada,
39%
Europe 33%
Asia Pacific 14%
Latin America
8%
Africa 6%
U.S. & Canada
Europe
Asia Pacific
Latin America
Africa
37%
41%
23%
Greater than$100 Billion
$10 - $100Billion
Less than $10Billion
52%
28%
10%
4%
3% 1% 1%
Bank
Insurance company
Investment management
Government-related finance company
Bancassurance
Investment bank
Other industries
© 2015 Deloitte Consulting GmbH 10
Survey results: How much time does your board of directors
devote to the oversight of risk, as compared to two years ago?
Role of the board of directors
Insights: Reflecting increased regulatory
requirements, 85 percent of respondents reported that
their board of directors currently devotes more time to
oversight of risk than it did two years ago.
The most common board responsibilities are:
• approve the enterprise-level statement of risk
appetite
• and review corporate strategy for alignment with
the risk profile of the organization
Considerably more time;
44% Somewhat more time;
41%
Little or no change; 14%
Less time; 1%
Considerably more time Somewhat more time
Little or no change Less time
© 2015 Deloitte Consulting GmbH 11
10%
12%
14%
16%
17%
19%
23%
26%
28%
39%
51%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Business continuity/IT security
Reputation
Asset and liability
Market
Liquidity
Operational
Data integrity
Credit
Strategic
Cybersecurity
Regulatory/compliance
Survey results: Over the next 2 years, which 3 risk types do you
think will increase the most in their importance for your business?
Management of key risks
Percentage ranked in top three
Note: Only the highest-rated risk types are shown.
1 = Greatest increase in importance; 2 = Second greatest increase in importance; 3 = Third greatest increase in importance.
© 2015 Deloitte Consulting GmbH 12
Survey results: How challenging is each of the following in
defining and implementing your organization’s enterprise-level risk
appetite statement?
Board risk activities
11%
18%
21%
35%
37%
38%
55%
55%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Complying with regulatory expectations regarding riskappetite
Gaining the active participation of business units inimplementing the risk appetite and risk limits
Integrating stress testing results when defining risk appetite
Translating the risk appetite for individual risk types intoquantitative risk limits
Allocating the risk appetite among different business units
Defining risk appetite for operational risk
Defining risk appetite for reputational risk
Defining risk appetite for strategic risk
Base: Percentage responding extremely or very challenging © 2015 Deloitte Consulting GmbH 13
Survey results: How challenging is each of the following for your
company when managing risk?
Enterprise Risk Management
7%
8%
13%
15%
17%
25%
26%
32%
32%
35%
35%
46%
62%
79%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Active involvement of the Board of Directors
Collaboration between the risk management function and other functions
Active involvement of senior management
Active C-suite involvement
Collaboration between the business units and the risk management function
Securing adequate budget and resources
Aligning compensation and incentives with risk management
Attracting and retaining business unit professionals with required riskmanagement skills
Attracting and retaining risk management professionals with required skills
Identifying and managing new and emerging risks
Establishing and embedding the risk culture across the enterprise
Risk data
Risk information systems and technology infrastructure
Increasing regulatory requirements and expectations
Base: Percentage responding extremely or very challenging © 2015 Deloitte Consulting GmbH 14
Agenda
© 2015 Deloitte Consulting GmbH 15
1
Deloitte Global Risk Management Survey: Aktuelle
Entwicklungen und Markteinschätzungen 2
BCBS #239: die (späte) Reaktion der Aufsicht auf die
Finanzkrise 3
Einführung
Risikomanagement in der Praxis am
Beispiel Reputationsrisiken 4
Grundsätze für „Effective Risk Data Aggregation and Reporting“
sind v.a. für global und national systemrelevante Banken relevant
Basel Committee on Banking Supervision (BCBS) #239
© 2015 Deloitte Consulting GmbH 16
Fahrplan • Umsetzung bis Januar 2016 (G-SIBs)
• Bzw. drei Jahre nach Designation
Adressaten
• Primär an die globalen systemrelevanten Banken (G-SIB) gerichtet
• Die Anwendung für systemrelevante Banken in nationalen Märkten (D-SIB) wird empfohlen
und wurde bereits von vielen nationalen Aufsichten avisiert
• Quasi Marktstandard für die Banken unter EZB-Aufsicht
Zielsetzung
• Stärkung der Stabilität des internationalen Finanzsystems durch Vorbereitung
von Prozessen und Infrastruktur auf Stress- und Krisensituationen
• Beschleunigung und Verbesserung der Entscheidungsprozesse
• Beseitigung der Schwachstellen bei Daten, Systemen und Prozessen
• Ausbau der Transparenz und Reportingkapazitäten auf Konzernebene
Es gibt nicht nur einen Regulator und auch nicht nur ein BCBS-
Grundsatzpapier….
Die Gefahr der Begriffsverwirrung ist groß
© 2015 Deloitte Consulting GmbH 17
BCBS #268
BCBS #308
MaRisk
BCBS #239
Bundesbank/
Bafin SREP
Baseler
Bankenaufsicht/
EBA/EZB
EZB:
JST-Prüfungen
Sowohl Prüfungen der MaRisk als auch der BCBS #239
Compliance werden bei SSM-Banken durch die EZB beauftragt
© 2015 Deloitte Consulting GmbH 18
MaRisk
BCBS #239
BCBS #268
BCBS #308
Bundesbank/
Bafin
SSM-Banken
EBA: SREP
Basler
Ausschuss für
Bankenaufsicht
• D-SIB-Benennung: Zeitnah,
spätestens bis Ende 2015
• Kein weiteres G-SIB- und auch
kein DSIB-Self Assessment in
2015 geplant
• Für D-SIBs noch kein Monitoring
der Umsetzung, aber Work-
shops nach Benennung avisiert
• Aktuell: Quartalsweises Monitoring
der G-SIBs hinsichtlich BCBS
#239- Umsetzungsfortschritt
• Good Practice-Paper für JSTs in
Erstellung (Veröffentlichung wird
nicht beabsichtigt)
• Keine weiteren Veröffentlichungen
bzw. Konkretisierungen geplant
• Eine MaRisk-Novelle wird es erst
in 2016 geben
• Aber: kurzfristige Aufnahme von
BCBS #239 in die Aufsichtspraxis
geplant
• Individuelle Interpretation in Bezug
auf Größe und Geschäftsmodell
für alle Banken notwendig
• Gute Begründung bei defensiver
Auslegung erforderlich
• EBA-Guidelines on common
procedures and methodologies for
SREP: Prüfung von BCBS #239-
Sachverhalten ab 2016
• Sanktionen => Kapitalaufschläge im
Ermessen des jeweiligen Aufsehers
• Konkretisierungen der Anforderungen
über die JST-Prüfungen
Sonstige:
KWG §44-
Prüfung
• Risikomanage-
ment-relevante
Sachverhalte
bleiben
weiterhin
Gegenstand
des nationalen
Aufsichts-
prozesses
Die BCBS #239-Grundsätze stellen erstmals Anforderungen an
eine integrierte Risiko-, Daten- und Systemsicht
Herausforderung BCBS #239-Umsetzung
© 2015 Deloitte Consulting GmbH 19
• Die Qualität des Risikoreporting muss
die Standards in Bezug auf
Genauigkeit, Integrität und
Vollständigkeit erfüllen
• Fähigkeit zu flexiblem Ad Hoc-
Reporting
• Konzernweit einheitliche Definitionen
von Risikoarten und Kennzahlen,
Dokumentation in einem Data
Repository
• Adressatengerechte Reports
• Das Risikoreporting sollte durch
dokumentierte Prozesse unterstützt
werden, um Standards im Bezug auf
Aktualität, Qualität und Anpassungs-
fähigkeit zu gewährleisten
• Schnelle und möglichst
automatisierte Prozesse
• Höhere Anforderungen in Stress-
und Krisenzeiten
• Abstimmbarkeit der Daten bei
verschiedenen Datenquellen je
Risikoart
• Anpassungsfähigkeit der Systeme an
veränderte Anforderungen, etablierte
Change-Prozesse
• Schnelle technische
Verarbeitungsprozesse
• DQ-Management für höhere
Prozessqualität, -geschwindigkeit und
Berichtsqualität
• Risikomindernde Kontrollen und
Maßnahmen bei IDV-generierten Daten
• Konzernweit einheitliche Identifier für
Risikodaten
• Transparenz über Datenflüsse
1.
Reporting
2.
Prozesse
4.
Systeme
3.
Daten
5.
Governance
Risikosicht
Daten-/ Systemsicht
• Stärkere Einbeziehung des Senior Management in
die Aufsicht der BCBS #239-Projekte
• Engere Begleitung von IT-Infrastrukturprojekten
durch die nationale Aufsicht
• Empfehlung von BCBS #239 an die nationalen
Aufseher:
• Zeitnahe Kontaktaufnahme mit den D-SIBs
(Management und Interne Revision)
• Prüfungen schon während der Projektlaufzeit
• Topthemen: Betonung der Wichtigkeit von
Qualitätskontrollen und der Verringerung von IDVen,
konzernweite Anwendung der BCBS #239
• Die verschiedenen Aufseher haben keine einheitliche
Strategie zum Umgang mit non-Compliance
• BCBS erwartet einen „risikobasierten“ Ansatz als Mittel,
um Maßnahmen bei non-Compliance abzuleiten
Seit dem letzten Progress Report haben G-SIBs kaum Fortschritte,
sogar teilweise Rückschritte berichtet. 45% der befragten G-SIBs
erwarten, dass sie die Deadline 31.12.2015 nicht halten werden
Progress Report #2 vom 23. Januar 2015 = BCBS #308
© 2015 Deloitte Consulting GmbH 20
Quelle: http://www.bis.org/bcbs/publ/d308.pdf
Schlussfolgerungen des Ausschusses
• Grundlage: Aussagen von 30 G-SIBs im Vergleich zum
letzten Self Assessment von 2013
• Im Durchschnitt kaum Verbesserungen bezüglich der
Compliance zu den verschiedenen Prinzipien
• 16 Banken senkten die Bewertung in mindestens
einem Grundsatz, meistens im Bereich Governance/
Infrastruktur, aber vor allem auch bei Grundsatz 3
(Accuracy/Integrity)
• Schlechteste Bewertungen: IT Infrastructure,
Adaptability, Accuracy/Integrity
• Der Baseler Bankenausschuss (BCBS) sieht die Einhal-
tung der Governance-/Infrastruktur-Grundsätze als zwin-
gend für die Compliance der anderen Grundsätze an
• Übergreifende Einschätzung: die G-SIBs stufen sich
eher zu positiv ein und voraussichtlich werden noch
mehr als 45% der G-SIBs die Deadline 31.12.2015 nicht
halten können
Auszüge aus dem Progress Report
Probleme resultieren häufig aus gewachsenen IT-Lösungen mit
umfassenden IDV-Einsatz, komplexen Prozessen und fehlender
Reporting-Flexibilität
21
I. Gesamtunternehmensführung und Infrastruktur Typische BCBS #239-Compliance-Lücken
1 Governance Fehlende Dokumentationen, offene Festlegung von Verantwortlichkeiten
2 Datenarchitektur und Infrastruktur Fehlende Flexibilität der Systeme, Probleme bei Datenzusammenführungen
II. Risikodaten-Aggregationskapazitäten
3 Genauigkeit und Integrität Kritische Themen bei Datenqualität, Abstimmungen, IDV-Einsatz, Datenintegration
4 Vollständigkeit Mangelnde Flexibilität der Auswertungen sowie Absicherung Vollständigkeit über alle Ebenen
5 Aktualität Zu lange Berichtszeiten in Kredit- und Gesamtrisikoberichten
6 Anpassungsfähigkeit Fehlende Flexibilität Ad-hoc-Reporting, fehlende systematische Tests des Reportings
III. Risikoberichterstattung
7 Genauigkeit Fehlende Maßnahmen zu Datenqualität sowie zur Abstimmung Risk/Finance
8 Umfassender Charakter Vielfach Notwendigkeit zur Fokussierung/Reduzierung
9 Klarheit und Nutzen Keine konzernweit einheitlichen Datendefinitionen
10 Häufigkeit Bei einigen Banken sind monatliche Berichte und schnelles Ad-hoc-Reporting kritisch
11 Verbreitung Keine systemseitige Unterstützung bei der Bereitstellung der Risikoreports
IV. Überprüfungen, Instrumente und Zusammenarbeit durch die Aufsicht
12 Überprüfung I.d.R. kein Zusatzaufwand über Grundsätze 1 – 11 hinaus
13 Korrektur- und Aufsichtsmaßnahmen I.d.R. kein Zusatzaufwand über Grundsätze 1 – 11 hinaus
14 Grenzüberschreitende Zusammenarbeit Nachschärfung der konzernweiten, abgestimmten Aufstellung ggü. der Aufsicht
© 2015 Deloitte Consulting GmbH
Ein echtes Kundenbeispiel
BCBS #239 Self Assessment
22
Einschätzung BCBS #239-Compliance für die Ist-Situation
• Die kritische Selbsteinschätzung bezieht sich durchweg auf alle Risikoarten
• Im Schnitt über alle Risikoarten wurden folgende Themen besonders kritisch beurteilt: Genauigkeit, Schnelligkeit,
Anpassungsfähigkeit/Flexibilität und Frequenz sowie lückenhafte oder fehlende Dokumentation
Scoring Summary - Overview
To
tal
Ban
k
Ris
k
Cre
dit
Ris
k/
CC
R
Liq
uid
ity
Ris
k
Mark
et
Ris
k
Op
era
tio
nal
Ris
k
Bete
ilig
un
g
sri
sik
en
Principles per Principle: Per Principle / Risk Area:
P1 Governance 2,04 2,04 2,04 2,04 2,04 2,04 2,04
P2 Data Architecture and IT Infrastructure 2,07 2,07 2,07 2,07 2,07 2,07 2,07
P3 Accuracy and Integrity 1,96 1,95 1,86 2,00 1,95 2,00 2,00
P4 Completeness 2,53 2,33 2,50 2,50 2,75 2,58 2,50
P5 Timeliness 1,68 1,70 1,90 1,40 1,70 1,70 1,70
P6 Adaptability 1,88 1,20 2,33 1,58 2,33 1,80 1,90
P7 Accuracy 1,83 1,80 2,00 1,80 1,80 1,80 1,80
P8 Comprehensiveness 3,02 3,00 2,70 3,20 3,20 3,00 3,00
P9 Clarity and Usefulness 2,85 3,17 2,58 2,92 2,92 2,75 2,75
P10 Frequency 1,30 1,30 1,60 1,00 1,30 1,30 1,30
P11 Distribution 2,78 2,00 4,00 3,33 3,33 2,00 2,00
Risk Areas
© 2015 Deloitte Consulting GmbH
Große Herausforderungen resultieren aus der Bereitstellung und
Aufbereitung notwendiger Daten sowie aus personellen
Engpässen bei internen Bankressourcen
Erkenntnisse aus bestehenden BCBS #239-Umsetzungsprojekten
© 2015 Deloitte Consulting GmbH 23
Umsetzungsschwierigkeiten Kritisch aus
Banksicht* Kommentar
Definition der Datenanforderungen Eine übergreifende Abstimmung für Finanz- und Risikodaten ist
aufwändig, aber: ein gemeinsames Zielbild bringt echten Mehrwert
Schnelle Berichtsverfügbarkeit, z.B. U + 10 Aus Bankensicht wäre dies wünschenswert, jedoch derzeit nicht
darstellbar. Eine U+15 – U+20 Verfügbarkeit erscheint realistischer
Abhängigkeiten zu strategischen Initiativen Zahlreiche Großprojekte zahlen auf die BCBS #239-Anforderungen
ein, daher sind zahlreiche Abhängigkeiten zu berücksichtigen
Fehlende verfügbare interne Ressourcen Überlastung interner Ressourcen aufgrund der Vielzahl an
regulatorischen Anforderungen
IT-Architektur Aufbrechen der Silostrukturen, Abbau IDV, Automatisierung Schnitt-
stellen, neue, integrierte Reportinglösungen sind Aufwandstreiber
Art und Weise der geforderten Dokumentation Wird als problematisch gesehen; zusätzlich Erläuterung notwendig zur
Bedeutung von “fully documented risk data aggregation capabilities”
Stress- und Krisensituation Anforderungen unklar, zudem problematisch, da bereits die
Anforderungen in Normalzeiten als ambitioniert angesehen werden
Fehlende D-SIB-Designation Unklarheit über den Umfang der benötigten Anpassungen
Entscheidungsfindung Abhängig von der Projektgröße bestehen Probleme durch die Vielzahl
involvierter Stakeholder/Entscheider
Komplexe Konzernstrukturen Unklarheit, wie mit Tochtergesellschaften umzugehen ist,
konzernweite Einheitlichkeit nur schwer durchzusetzen
* Gefährdung der zeitgerechten und umfassenden BCBS #239-Umsetzung Hohes Risiko Mittleres Risiko
Viele Banken versuchen, die Interpretationsspielräume für einen
möglichst günstigen Ansatz zu nutzen minimal compliant
Deloitte-Sicht auf die Umsetzung in deutschen Banken
© 2015 Deloitte Consulting GmbH 24
• Die Banken haben die Notwendigkeit erkannt, konkrete
Maßnahmen in Richtung Data Governance, Datenqualität,
Data Dictionary und Validierungsfunktion zu ergreifen
• Die Vorstudien bringen Vertreter aus Risiko, Finanzen und
IT an einen Tisch
• AQR/Stresstest hilft, Notwendigkeit für BCBS #239 auf
Arbeitsebene aufzuzeigen
• Die Risikoberichterstattung ist i.d.R. umfassend und es
gibt klare Trends, Informationen anschaulicher und
managementgerecht aufzubereiten und sie mit Ertrags-
sowie sonstigen Steuerungsinformationen anzureichern
Positive Entwicklungen aus Deloitte-Sicht Kritische Themen
• Ziel: mit minimalem Aufwand BCBS #239-Compliance
erreichen, keine Übererfüllung
• Chancen, spürbare Verbesserungen zu erreichen, werden
nicht genutzt: fehlende interne Ressourcen, fehlendes
Budget, fehlendes Vorstands-Committment
• Wenig ernsthafte Ambitionen, die IT-Architektur über
bestehende Projekte hinaus durch BCBS #239 zu
verändern
• Wenig Interesse, IDVen abzulösen, wenn es nicht schon
konkrete KWG § 44-Findings gibt
• Nicht ausreichende Priorisierung auf Führungsebene,
BCBS #239 als eines von vielen Themen
• Die Berichtszeiträume sind zu lang und die Bestrebungen
der Banken in Richtung Verkürzung sind unzureichend
• Unklarheiten über den Konzernansatz
• Grundsätzlich wird ein Data Dictionary als hilfreich
angesehen, aber es fehlt die Bereitschaft mitzuarbeiten
Strategie, Governance,
Richtlinien Risiko-
reporting
Berichts- und
Abstimm-prozesse
Data Governance
& DQM
IT-Architektur
Nach unserer Einschätzung entfallen zwischen 60% und 70 % der
veranschlagten BCBS #239-Budgets auf IT-Umsetzungsthemen
Umsetzungsaufwand
© 2015 Deloitte Consulting GmbH 25
Ausgangssituation
• Aus bisherigen Vorstudien im deutschen Bankenmarkt
ergibt sich z.T. erheblicher Handlungsbedarf zur
Erreichung der BCBS #239-Compliance bis 2017
• Investitionsbedarf in IT- und Datenarchitekturen
machen den überwiegenden Teil der geplanten
BCBS #239-Umsetzungsbudgets aus
Wesentliche Treiber für den Umsetzungsaufwand
• Konzernkomplexität
• Produktspektrum
• IT-Ausgangssituation
− Heterogenität der Landschaft
− Anspruch an die Auswertungsmöglichkeiten
• Kleinere Banken mit einfachem Produktspektrum
und bereits erfolgten Investitionen in die
Steuerungsarchitektur: < 10 Mio. Euro
• Große Bankengruppen mit hoher Komplexität:
deutlich > 20 Mio. Euro
Ø-Verteilung der BCBS #239-Umsetzungsaufwände
65%
6%
10%
4%
15%
Agenda
© 2015 Deloitte Consulting GmbH 26
1
Deloitte Global Risk Management Survey: Aktuelle
Entwicklungen und Markteinschätzungen 2
BCBS #239: die (späte) Reaktion der Aufsicht auf die
Finanzkrise 3
Einführung
Risikomanagement in der Praxis am
Beispiel Reputationsrisiken 4
Schadensfälle können sehr schnell eintreten
Reputationsrisiken
„Ich wurde abends informiert, dass aus
ungeklärten Gründen weltweit kein online-
Zugriff mehr möglich ist. Schnell stellte sich
heraus, dass es sich um eine Cyber-
Attacke in einem bisher unbekannten
Ausmaß handelte. Unsere größte Sorge
war, dass es zu plötzlichen und massiven
Geldabflüssen kommt – aufgrund der
Befürchtung unserer Kunden, dass ihr Geld
bei uns nicht mehr sicher ist.“
„Die professionelle Vorbereitung mit
potentiellen Reputationsrisiken hat
wesentlich dazu beigetragen, dass wir
wussten, was wir zu tun haben: wer wann
durch wen zu informieren ist und wie wir
mit diesem Angriff umgehen – bis hin zur
nächtlichen Abstimmung mit einem
Kommunikationstrainer für einen Auftritt im
Frühstücksfernsehen direkt am nächsten
Morgen…“
Joe Garner
Former CEO, HSBC UK Retail Bank
The Telegraph, 19. Oktober 2012
© 2015 Deloitte Consulting GmbH 27
• Der potentielle Schaden durch den Eintritt von
Reputationsrisiken rückt immer stärker in den Vordergrund
• Kein einheitlicher Marktstandard für die Definition von
Reputationsrisiken und deren Abgrenzung von anderen
Risikoarten
• Uneinheitliche Methoden und Prozesse für das
Management und Controlling von Reputationsrisiken
• Zunehmend aufsichtsrechtliche Anforderungen:
Finanz- und Risikotragfähigkeitsinformationenverordnung
(FinaRisikoV):
• Jährliche Identifikation und Bewertung
• Reporting und Handlungsempfehlungen
• Überprüfung von potenziell kritischem Neugeschäft
• Organisatorische Verankerung des Reputations-
risikocontrollings unterschiedlich umgesetzt, z.B.
im operationellen Risikocontrolling
in den Bereichen Unternehmenskommunikation oder
Gesamtbanksteuerung
Markttrends
• Steuerbetrug mit CO2-Emissionszertifikaten (2011)
• Verdacht, dass die Deutsche Bank ihren Kunden beim
Verkauf von forderungsbesicherten Wertpapieren in
Großbritannien falsche Informationen geliefert hat (2011)
• Umstrittene Hypothekengeschäfte zu Zeiten der
Finanzkrise (Bußzahlungen in Millionenhöhe) (2011)
• Vorwürfe der Geschäfte mit Iran, Sudan und anderen
sanktionierten Ländern vor dem Jahr 2008 (2012)
• Verwicklung im Libor-Skandal (Mögliche
Bußgeldzahlungen) (2012/2013)
• Umstrittene Bonuszahlung an Skandalhändler (2013)
• Vorwürfe der Bilanztrickserei (Verschleierung von
Milliardenverlusten bei Kreditderivaten während der
Finanzkrise) (2013)
• Geldwäsche in Zusammenhang mit Deutsche Bank
Moskau (2015)
Beispiel Deutsche Bank – ein kleiner Auszug…
© 2015 Deloitte Consulting GmbH 28
Behörden wie auch Banken rücken das Thema in den Fokus
Reputationsrisiken
Reputationsschäden können den Ruf im Markt nachhaltig
schädigen und auf andere Risiken durchschlagen
Lessons Learned für ein effektives Reputationsrisikomanagement
• Erhöhung Bewusstsein für Reputationsrisiken
auf allen Ebenen
• Ableitung von Wirkungszusammenhängen mit
anderen Risikoarten und Risiken anderer
Fachbereiche
• Effektivere Einbindung von Risiken in die
Gesamtrisikostrategie, klare Verantwortung
• Im Krisenfall muss ggfs. schnell gehandelt
werden, die Handgriffe müssen sitzen
• Bessere Abdeckung von möglichen
Krisenszenarien vor allem vor dem
Hintergrund, dass Reputationsrisiken als
Folgerisiken bzw. als Auslöser für weitere
Risikoarten auftreten können
Zentrale Verankerung / Koordination von
Reputationsrisiken
Explizite Berücksichtigung von Reputationsrisiken
in der Risikostrategie
„Durchgespielte“ Prozesse für den Fall eines
eingetretenen Reputationsschadens
Berücksichtigung von Reputationsrisiken im
Stress Testing zumindest als Folgerisiken oder
Auslöser für weitere Risikoarten sinnvoll
© 2015 Deloitte Consulting GmbH 29
Die Deutsche Bank hat ein Group Reputational Risk Committee
aufgesetzt, das Geschäftstransaktionen stoppen kann
Management von Reputationsrisiken: Beispiel Deutsche Bank
© 2015 Deloitte Consulting GmbH 30 Quelle: https://www.db.com/cr/de/konkret-Management-von-Reputationsrisiken.htm
Unser Projektansatz begleitet Banken vom Set-up bis zur
Implementierung des neuen To-be Designs des Reputations-
risikomanagements
Scope &
Vision
Vorbe-
reitung Roadmap
Implemen-
tierung
Ist-Aufnahme To-be Design Roll-out Set-up
Ist-Prozesse
Best Practice
Risiko/
Qualitätsmanagement
Kommunikation
vor einem Reputationsereignis
Krisenmanagement/
Desaster Recovery
Kommunikation nach dem
Eintritt eines
Reputationsereignisses
Reputations-
ereignis
Proaktives
Management Recovery
Management
Deloitte-Projektansatz
1 2 3 4
© 2015 Deloitte Consulting GmbH 31
To-be Design – Proaktives Management der Reputationsrisiken
Tätigkeiten
Risikoüberwachung Risikosteuerung Risikobewertung Risikoidentifikation
• Analyse eingetretener
Reputationsereignisse
• Auflistung spezifischer
Reputationsrisiken
• Risikoeinschätzung für
Partnerbanken
• Identifikation von
Risikotreibern &
Risikoschwellenwerten
Wahrscheinlichkeit
Hoch
Jährliches Auftreten wahrscheinlich
Mittel
Auftreten alle paar Jahre wahrscheinlich
Tief
Auftreten sehr unwahrscheinlich
Schadenshöhe
Hoch
Aufsichtsbehörde,
Kunden, öffentliche Meinung betroffen, Verlust von Kunden
Mittel
Aufsichtsbehörde oder
Kunden betroffen, Verlust einiger Kunden
Tief
Aufsichtsbehörde oder
Kunden betroffen, aber kein Verlust von Kunden
• Bewertung von
Reputationsrisiken
mithilfe quantitativer
Verfahren
• Qualitative
Sensitivitätsbeurteilung
von Reputationsrisiken
und Bestimmung des
Schadenspotentials
• Konzeption eines
Risikoindikatoren-
Frühwarnsystems
• Entwicklung von
Maßnahmen zur
Risikoabsicherung,
z.B. bei Neugeschäft
• Konzeption eines aktiven
Maßnahmencontrollings
zu Umsetzungs- und
Wirksamkeitsgrad
• Vorschlag zur
Ausgestaltung einer
aussagefähigen
Berichterstattung zu
Reputationsrisiken
inklusive Markt-
betrachtung
Reputations-
ereignis
Proaktives
Management Recovery
Management
Scope &
Vision
Vorbe-
reitung Roadmap
Implemen-
tierung
Ist-Aufnahme To-be Design Roll-out Set-up
KfW-Prozesse
Best Practice
Risiko/
Qualitätsmanagement
Kommunikation
vor einem Reputationsereignis
Krisenmanagement/
Desaster Recovery
Kommunikation nach Eintritt
eines Reputationsereignisses
© 2015 Deloitte Consulting GmbH 32
Zur frühzeitigen Erkennung und Steuerung von Reputationsrisiken
im Social Media Bereich bietet Deloitte ein spezielles Analysetool
Erste Kurzanalyse am Beispiel von Förderbanken
Frühzeitige Erkennung von
Reputationsrisiken dank
eines integrierten
Kennzahlenmodells (z.B.
Identifikation von
„Shitstorms“ mit Hilfe von
Mustererkennung)
Möglichkeit, neben der
Integration von über 100
Mio. Social Media
Datenquellen auch interne
Datenquellen anzubinden,
um so Ursache-
Wirkungszusammen-
hänge aufzudecken
© 2015 Deloitte Consulting GmbH 33
Durch eine erste Kurzanalyse der für das Reputationsrisiko-
management relevanten Daten werden Auffälligkeiten am Beispiel
der KfW transparent
• Kritik von Experten an
einem Unternehmen,
an dem die KfW 1/3 der
Anteile hält
• Diskussionen über die
Förderung von
Haussanierungen, die
einen zweifelhaften
Mehrwert stiften
• Wikipedia-
Manipulationen eines
Politikers, bei dem die
KfW im Zusammen-
hang mit Verlusten in
Höhe von 1,4 Mio. Euro
genannt wird
© 2015 Deloitte Consulting GmbH 34
Design – Recovery Management und Roadmap
Entwicklung des Krisenmanagements 1 Ergebnisdokumentation / Entscheidungsvorlage 2
• Entwicklung einer
Strategie zur
Krisenreaktion
• Simulation möglicher
Krisenszenarien, um die
Krisenmanagementpläne
zu testen
• Maßnahmen- und
Kommunikations-
pläne, strukturiert
nach Schwere des
eingetretenen
Reputationsrisikos
• Prozesse für den
Umgang mit
eintretenden
Risiken
• Zusammenfassung von
Ergebnisdokumenten
• Erstellung einer
Roadmap in Form eines
Implementierungsplans
• Durchführung
Aufwandsschätzung
• Erstellung
Entscheidungsvorlage
• Ergebnis-
dokument
inklusive
Roadmap und
Aufwands-
schätzung
• Entscheidungs-
vorlage
Nr. Maßnahmen Verantw. Sep '05 Okt '05 Nov '05 Dez '05 Jan '06 Feb '06 Mrz '06 Apr '06 Mai '06 Jun '06 Jul '06 Aug '06 Sep '06
1 Funtionsübergreifende RACI Matrix tbd.
2 Internationales Projektmanagement BRR tbd.
3 IM-Software tbd.
4 Richtlinientransparenz tbd.
5 Positioning Project Management tbd.
6 Risk & Compliance Organisation tbd.
7 Management Reporting & Einheitliche Definitionen tbd.
8 Einheitliche Datenbasis tbd.
9 Ablösung Peoplesoft tbd.
10 Liquiditätsplanung CP
11 Hardwareshop CP
12 Popeye Planning JPJ
13 Popeye Reporting JPJ
14 Schnittstelle DWH - Popeye JPJ
15 Detailkonzept Profitabilitätsrechnung JPJ
16 Sollkonzept AOL GK-Budgeting Prozess JPJ
17 Aufbau Simulations- und Targetsettingmodell JPJ
18 Entwicklung und Aufbau Master- und Business Data Management JPJ
19 Retention & Kundenwertsegmente JPJ
20 Ausbau strategisches Controlling JPJ
21 FBI Instrument Member Services PS
22 Planung Member Services PS
23 Prozesskostenrechung Member Services PS
24 Kampagnenmanagement PS
25 PO Systemeinführung GF
26 Stärkung der Finanzeinkaufsfunktion CB
27 IT Roadmap „interne Leistungen“ JP
28 Aufbau IT als interner Service Dienstleister JP
Tätigkeiten
Scope &
Vision
Vorbe-
reitung Roadmap
Implemen-
tierung
Ist-Aufnahme To-be Design Roll-out Set-up
KfW-Prozesse
Best Practice
Risiko/
Qualitätsmanagement
Kommunikation
vor einem Reputationsereignis
Krisenmanagement/
Desaster Recovery
Kommunikation nach Eintritt
eines Reputationsereignisses
Reputations-
ereignis
Proaktives
Management Recovery
Management
© 2015 Deloitte Consulting GmbH 35
Meine Kontaktdaten
© 2015 Deloitte Consulting GmbH 36
Deloitte Consulting GmbH
Franklinstraße 46-48
60486 Frankfurt
Germany
Tel: +49 (0)69 97137 517
Mobile: +49 (0)151 5800 4943
stkampmann@deloitte.de
www.deloitte.com/de
Stefanie Kampmann Partner
Consulting
Financial Services
Deloitte bezieht sich auf Deloitte Touche Tohmatsu Limited („DTTL“), eine „private company limited by guarantee“ (Gesellschaft mit beschränkter Haftung nach britischem Recht),
ihr Netzwerk von Mitgliedsunternehmen und ihre verbundenen Unternehmen. DTTL und jedes ihrer Mitgliedsunternehmen sind rechtlich selbstständig und unabhängig. DTTL
(auch „Deloitte Global“ genannt) erbringt selbst keine Leistungen gegenüber Mandanten. Eine detailliertere Beschreibung von DTTL und ihren Mitgliedsunternehmen finden Sie
auf www.deloitte.com/de/UeberUns.
Deloitte erbringt Dienstleistungen aus den Bereichen Wirtschaftsprüfung, Steuerberatung, Consulting und Corporate Finance für Unternehmen und Institutionen aus allen
Wirtschaftszweigen; Rechtsberatung wird in Deutschland von Deloitte Legal erbracht. Mit einem weltweiten Netzwerk von Mitgliedsgesellschaften in mehr als 150 Ländern und
Gebieten verbindet Deloitte herausragende Kompetenz mit erstklassigen Leistungen und steht Kunden so bei der Bewältigung ihrer komplexen unternehmerischen Heraus-
forderungen zur Seite. „To be the Standard of Excellence“ – für mehr als 200.000 Mitarbeiter von Deloitte ist dies gemeinsame Vision und individueller Anspruch zugleich.
Diese Präsentation enthält ausschließlich allgemeine Informationen und weder die Deloitte Consulting GmbH noch Deloitte Touche Tohmatsu Limited („DTTL“), noch eines
der Mitgliedsunternehmen von DTTL oder eines der Tochterunternehmen der vorgenannten Gesellschaften (insgesamt das „Deloitte Netzwerk“) erbringen mittels dieser
Präsentation professionelle Beratungs- oder Dienstleistungen in den Bereichen Wirtschaftsprüfung, Unternehmensberatung, Finanzen, Investitionen, Recht, Steuern oder in
sonstigen Gebieten. Diese Präsentation ist insbesondere nicht geeignet, eine persönliche Beratung zu ersetzen. Keines der Mitgliedsunternehmen des Deloitte Netzwerks ist
verantwortlich für Verluste jedweder Art, die irgendjemand im Vertrauen auf diese Präsentation erlitten hat
© 2015 Deloitte Consulting GmbH
Recommended